CVE-2020-29128

Versões do petl anteriores à 1.68

A vulnerabilidade permite a resolução de entidades em um documento XML, o que pode levar à divulgação de informações. Um invasor capaz de enviar entradas XML para um aplicativo que utilize o petl pode divulgar arquivos arbitrários no sistema de arquivos no contexto do usuário sob o qual o aplicativo está sendo executado. Isso pode ocorrer em aplicativos que aceitem entradas XML fornecidas pelo invasor e processadas pelo petl, retornem a resposta gerada pelo petl ao invasor, configurem o lxml como a biblioteca de processamento XML subjacente utilizada pelo petl e possuam privilégios de leitura em arquivos do sistema de arquivos contendo informações confidenciais.

Atualize para a versão 1.68 ou posterior do petl.

Como solução alternativa temporária, certifique-se de que não haja acesso de usuários ou de terceiros ao aplicativo que utiliza o petl.

Certifique-se de que seu aplicativo não esteja utilizando a função fromxml().